Забавные огрехи в Avira 9 - Страница 3 - Выбор домашних средств защиты - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Андрей-001
разработчики в курсе. По крайней мере, по MailGuard.

И по WebGuard (в параллельной теме).

В Премиум Антивирусе даёт скачивать, но медленно, а в Премиум SS - пока не выключу его и не запущу DownloadMaster, закачка не начнётся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Не огрех, но нарочный детект: http://www.secureblog.info/articles/489.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Круто)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

Су-угой-й!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vovan7777
Не огрех, но нарочный детект: http://www.secureblog.info/articles/489.html

--------------------

Warning

In order not to compromise your security, this page will not be accessed

A virus or unwanted program has been detected

in the HTTP data on the requested page.

Requested URL: http://www.secureblog.info/articles/489.html

Information Contains recognition pattern of the EXP/MS05-013 exploit

Generated by AntiVir WebGuard 9.0.5.0, AVE 8.2.0.193, VDF 7.1.4.124

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

vovan7777,

Сплоеты.generic

На новизну примера не претендую

Еще одно веское слово в детекте сплоетов, заполонивших всю планету, сказали господа из avira:

обнаружив строку

"cracks, keygens, serials, porn, xxx, free, crack, hacking, source, code, flash, sounds, cgi, vb, c, virus, trojans, portlist, trojan, fonts, cracking, tools, tutorials, scanners",

файл выкашивается как содержащий exploit EXP/MS05-013

virustotal

Разумеется, в описании уязвимости в dhtmled.ocx MS05-013 прям так и написано: как 100% и железобетонный вокэраунд рекомендуем запретить употреблять ряд терминов, приведенных выше.

Надеюсь это не помешает авировцам сюда зайти ^_^

zzz, 22.06.2009 12:21:34:

привет. а ты какое-то отношение к secureblog.info имеешь?

Umnik, 12:23:00:

Првет. Ерундовое — постоянно читаю + пару записей делал ни разу не значительных

zzz, 12:23:47:

то просто они сегодня в rss вирусню отдают

zzz, 12:23:53:

надо бы доложить кому-то

Umnik, 12:24:09:

:) это тебе Авира сказала? :)

zzz, 12:24:27:

да

Канешн охренеть можно, как авира нас бережёт.. =\

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
cracks, keygens, serials, porn, xxx, free, crack, hacking, source, code, flash, sounds, cgi, vb, c, virus, trojans, portlist, trojan, fonts, cracking, tools, tutorials, scanners

Эту строчку банально копируем в текстовый файл,сохроняем- и отправляем на Вирустотал- результат писали выше.... ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
Разумеется, в описании уязвимости в dhtmled.ocx MS05-013 прям так и написано

Насколько я понимаю, это описание уязвимости мелкомягких: См. http://www.microsoft.com/technet/security/...n/MS05-013.mspx

Microsoft Security Bulletin MS05-013

Vulnerability in the DHTML Editing Component ActiveX Control Could Allow Remote Code Execution (891781)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Skeptic

"прям так и написано" - это сарказм. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Кто-нибудь со знанием языка, закиньте этот "эксплойт" на англоязычный форум Avira. Интересно, что ответят. :)

У меня, кстати, доступ к странице не блокируется, ловит Guard в кэше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Кто-нибудь со знанием языка, закиньте этот "эксплойт" на англоязычный форум Avira. Интересно, что ответят. :)

У меня, кстати, доступ к странице не блокируется, ловит Guard в кэше.

Я думаю, что его можно там постить только кусочками с инструкциями, иначе будет работать 'защита' у всех, и форум, скорее всего, вообще не примет если это в базах...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Я думаю, что его можно там постить только кусочками с инструкциями, иначе будет работать 'защита' у всех, и форум, скорее всего, вообще не примет если это в базах...

гг) слишком жёстко)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
гг) слишком жёстко)

С Eicar'ом, например, можно так делать. Если изначальный текст разделить на 3 отдельные кусочки, то тогда детекта не будет. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest PrimaMimo

Я прям зачиталась. мой у меня тоже оригинал, хотя и у меня есть свои качества смешные...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

PrimaMimo, какие например?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nexus

Блин как отключить эту проверку подписей системных файлов? Ее же изначально убрали, и в русской версии ее небыло...А тут товарищ начинает проверять систему (Вин 7), а оно через каждую секунду такими запросами вылазит...

Авира 9.0.0.71 премиум рус.

RJRa69nVbV.jpg

UPD. Разобрался

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
    • santy
      Может, стоит включить команды заморозки потоков и выгрузки процессов с измененным кодом при формировании скрипта в режиме "Автоскрипт"? Если были обнаружены процессы с измененным кодом.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.17.
    • PR55.RP55
      Так как, по сути нет возможности проверить расширения браузеров Chrom\ium при работе с образом - то, что-то нужно с этим делать. Отправлять все расширения на V.T. - в момент генерации образа, или упаковывать их в отдельный архив к\с образом автозапуска, или загружать... в облако. Возможно добавить пункт в меню: "Создать полный образ автозапуска с проверкой расширений браузеров".      
×